Rechtspaket

Datenschutzpaket

Auftragsverarbeitungsvertrag (AVV)

1| Checkliste: Auftragsverarbeitungsvertrag (AVV)

Es handelt sich um allgemeine Informationen zu einem vorausgewählten Thema. Die Checkliste ersetzt nicht die individuelle Rechtsberatung. Für individuelle Fragen stehen Dir unsere Experten zur Verfügung.

<div class="_14px w-richtext"><strong>AVV:</strong> Ein Auftragsverarbeitungsvertrag (AVV) regelt, wie ein Unternehmen (Auftragsverarbeiter, z.B. ein SaaS-Anbieter) im Auftrag eines anderen (Verantwortlicher, z.B. ein SaaS-Kunde) personenbezogene Daten verarbeitet. SaaS-Anbieter müssen z.B. oft mit Kunden und ggf. mit Dritt-Diensten, die der SaaS-Anbieter nutzt, AVVs abschließen. Die Pflicht, einen AVV abzuschließen, gilt aber für alle Unternehmen, die im Auftrag eines anderen personenbezogene Daten verarbeiten oder einen anderen mit einer solchen Verarbeitung beauftragen.<br><br><strong>Rechtsexperte:</strong> Die genaue Notwendigkeit und Anzahl der AVVs sollten durch einen Rechtsexperten basierend auf dem spezifischen Geschäftsmodell bestimmt werden.<br><br></div>

<div class="_14px w-richtext"><ol><li><strong>Digitale Unterschrift:</strong> Ein Auftragsverarbeitungsvertrag (AVV) muss schriftlich von den Parteien unterschrieben werden, wobei das Velsa Template die digitale Unterschrift ausreichen lässt.</li><li><strong>Inhaltliche Vorgaben:</strong> Darüber hinaus bestehen strenge Vorgaben an die Inhalte eines AVV. Diese erläutern wir unten genauer.</li></ol></div>

<div class="toggle"> <h4 class="toggle-header"><strong>Präambel:</strong></h4> <div class="toggle-content"> <p>In diesem Abschnitt wird dargelegt, dass der AVV als Teil des Hauptvertrags über die Erbringung von Dienstleistungen durch den 'Auftragsverarbeiter' (ggf. auch als 'Auftragnehmer' bezeichnet) an den für die Datenverarbeitung 'Verantwortlichen' (ggf. auch als 'Auftraggeber' bezeichnet) geschlossen wird. Ferner wird klargestellt, dass der Auftragsverarbeiter im Rahmen des Hauptvertrags personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Weitere Informationen zu den Konzepten Verantwortlicher und Auftragsverarbeiter findest Du hier.</p> </div> </div> <div class="toggle"> <h4 class="toggle-header"><strong>Gegenstand, Dauer und Umfang der Datenverarbeitung:</strong></h4> <div class="toggle-content"> <p>In diesem Abschnitt wird dargelegt, dass der Auftragsverarbeiter die personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen verarbeitet. Ferner wird festgelegt, dass die wesentlichen Parameter der Datenverarbeitung (z.B. Umfang, Art, Zweck und Dauer der Datenverarbeitung, sowie Kategorien der betroffenen Personen und Datenarten) in den Anlagen 1 und 2 näher bestimmt sind.</p> </div> </div> <div class="toggle"> <h4 class="toggle-header"><strong>Weisungsrechte des Auftraggebers:</strong></h4> <div class="toggle-content"> <p>Diese Klausel besagt, dass der Auftragsverarbeiter/Auftragnehmer nur Daten verarbeiten darf, wie es in dem Hauptvertrag festgelegt ist und den Weisungen des Verantwortlichen/Auftraggebers entsprechen. Wenn es gesetzliche Anforderungen der EU oder der Mitgliedstaaten gibt, die der Auftragsverarbeiter/Auftragnehmer befolgen muss, muss er den für die Verantwortlichen/Auftraggeber vor der Verarbeitung der Daten informieren.</p> </div> </div> <div class="toggle"> <h4 class="toggle-header"><strong>Verantwortung und Weisungsrechte des Verantwortlichen:</strong></h4> <div class="toggle-content"> <p>Diese Klausel besagt, dass der Auftragsverarbeiter Daten nur im Auftrag und gemäß den Weisungen des Verantwortlichen verarbeiten darf, welcher die Zulässigkeit der Datenverarbeitung beurteilt. Für das Weisungsrecht des Verantwortlichen werden zwei Optionen vorgeschlagen: Entweder sind die Weisungen im Vertrag abschließend geregelt, und abweichende Weisungen bedürfen der Zustimmung des Auftragsverarbeiters (Option 1), oder der Verantwortliche kann jederzeit weitere Weisungen erteilen (Option 2). Schließlich wird festgelegt, dass der Auftragsverarbeiter den Verantwortlichen informieren muss, wenn eine Weisung datenschutzrechtlich bedenklich ist, und die Ausführung bis zur Klärung aussetzen oder eine offensichtlich rechtswidrige Weisung ablehnen kann.</p> </div> </div> <div class="toggle"> <h4 class="toggle-header"><strong>Pflichten des Verantwortlichen:</strong></h4> <div class="toggle-content"> <p>In dieser Klausel werden bestimmte Pflichten des Verantwortlichen dargestellt, wie z.B. die alleinige Verantwortung für die Rechtmäßigkeit der Datenverarbeitung, die Freistellung des Auftragsverarbeiters von Ansprüchen Dritter, die Bereitstellung und Qualitätssicherung der erforderlichen Daten, sowie die Unterstützung bei Auskunfts- und Kooperationspflichten gegenüber staatlichen Stellen oder Personen.</p> </div> </div> <div class="toggle"> <h4 class="toggle-header"><strong>Schutzmaßnahmen des Auftragsverarbeiters:</strong></h4> <div class="toggle-content"> <p>Nach diesem Abschnitt muss der Auftragsverarbeiter bestimmte Schutzmaßnahmen ergreifen, wie z.B. Maßnahmen zur Sicherung der Daten und zur Vermeidung nachteiliger Folgen für betroffene Personen zu treffen, die Einhaltung der gesetzlichen Datenschutzbestimmungen zu gewährleisten, die Daten vor unbefugtem Zugriff zu schützen sowie die Daten nur gemäß den Weisungen des Verantwortlichen zu verarbeiten.</p> </div> </div> <div class="toggle"> <h4 class="toggle-header"><strong>Technische und organisatorische Maßnahmen:</strong></h4> <div class="toggle-content"> <p>Diese Klausel verpflichtet den Auftragsverarbeiter, alle geeigneten technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen, insbesondere die in Anlage 4 aufgeführten Maßnahmen, und diese während der gesamten Datenverarbeitung aufrechtzuerhalten. Die Ausgestaltung von Anlage 4 hängt sehr vom Einzelfall ab; sie sollte daher von einem Rechtsexperten angefertigt werden.</p> </div> </div> <div class="toggle"> <h4 class="toggle-header"><strong>Informations- und Unterstützungspflichten des Auftragsverarbeiters:</strong></h4> <div class="toggle-content"> <p>Dieser Abschnitt verpflichtet den Auftragsverarbeiter, den Verantwortlichen unverzüglich über Störungen, vermutete Datenverstöße oder Verletzungen von vertraglichen Verpflichtungen zu unterrichten sowie den Verantwortlichen bei Maßnahmen zur Datensicherheit und Kommunikation mit Aufsichtsbehörden zu unterstützen. Der Auftragsverarbeiter ist auch verpflichtet, den Verantwortlichen bei bestimmten Datenschutzmaßnahmen zu unterstützen (z. B. bei der Erstellung eines Verarbeitungsverzeichnisses).</p> </div> </div> <div class="toggle"> <h4 class="toggle-header"><strong>Sonstige Pflichten des Auftragsverarbeiters:</strong></h4> <div class="toggle-content"> <p>In diesem Abschnitt ist festgelegt, dass der Auftragsverarbeiter verpflichtet ist, ein Verzeichnis aller im Auftrag des Verantwortlichen durchgeführten Tätigkeiten zu führen und auf Anfrage zur Verfügung zu stellen, sowie einen Datenschutzbeauftragten zu benennen, wenn dies gesetzlich vorgeschrieben ist.</p> </div> </div> <div class="toggle"> <h4 class="toggle-header"><strong>Kontrollrechte des Verantwortlichen:</strong></h4> <div class="toggle-content"> <p>Der Verantwortliche hat das Recht zu überprüfen, ob der Auftragsverarbeiter die Regeln des AVV einhält. Dies kann geschehen, indem er den Auftragsverarbeiter um Informationen bittet, sich Zertifizierungen oder Prüfbescheinigungen vorlegen lässt oder sogar das Büro des Auftragsverarbeiters mit Hilfe eines Experten inspiziert (sog. Audit). Der Verantwortliche muss Audits auf faire Art und Weise durchführen. Der Verantwortliche kann laut der Klausel grundsätzlich ein Audit pro Kalenderjahr durchführen.</p> </div> </div> <div class="toggle"> <h4 class="toggle-header"><strong>Einsatz von Subunternehmern:</strong></h4> <div class="toggle-content"> <p>Nutzt der Auftragsverarbeiter für die Datenverarbeitung bereits Subunternehmer (z.B. externe Cloud-Dienstleister), sind diese in Anlage 5 aufzuführen. Ferner schlägt das Template drei Optionen für den Einsatz von Subunternehmern vor: <br><br>Option 1: Der Auftragsverarbeiter kann ohne Zustimmung des Verantwortlichen Subunternehmer einsetzen.<br>Option 2: Der Auftragsverarbeiter darf Subunternehmer nur mit vorheriger Zustimmung des Verantwortlichen einsetzen.<br>Option 3: Der Auftragsverarbeiter darf Subunternehmer einsetzen, wenn der Verantwortliche nicht innerhalb von 14 Tagen widerspricht; bei Widerspruch kann der Vertrag mit einer Frist von drei Monaten gekündigt werden.<br><br>Grundsätzlich hat der Auftragsverarbeiter sicherzustellen, dass die vertraglichen Vereinbarungen mit Subunternehmern ein Datenschutzniveau gewährleisten, das dem zwischen dem Verantwortlichen und dem Auftragsverarbeiter in dem AVV vereinbarten Niveau entspricht.</p> </div> </div> <div class="toggle"> <h4 class="toggle-header"><strong>Rechte Betroffener:</strong></h4> <div class="toggle-content"> <p>Diese Klausel regelt insbesondere, dass der Auftragsverarbeiter Anträge betroffener Personen, die direkt an ihn gerichtet werden, unverzüglich an den Verantwortlichen weiterleitet.</p> </div> </div> <div class="toggle"> <h4 class="toggle-header"><strong>Laufzeit und Kündigung:</strong></h4> <div class="toggle-content"> <p>In diesem Abschnitt wird festgelegt, dass der AVV grundsätzlich für die gleiche Dauer wie der Hauptvertrag gilt.</p> </div> </div> <div class="toggle"> <h4 class="toggle-header"><strong>Löschung und Rückgabe nach Vertragsende:</strong></h4> <div class="toggle-content"> <p>Nach diesem Abschnitt hat der Auftragsverarbeiter bei Beendigung des AVV alle vom Verantwortlichen zur Verfügung gestellten Unterlagen, Daten und Datenträger zurückzugeben oder zu löschen.</p> </div> </div> <div class="toggle"> <h4 class="toggle-header"><strong>Haftung:</strong></h4> <div class="toggle-content"> <p>Diese Klausel stellt klar, dass für die Haftung des Auftragsverarbeiters die im Hauptvertrag vorgesehenen Haftungsausschlüsse und -beschränkungen gelten und der Verantwortliche den Auftragsverarbeiter von Ansprüchen Dritter freistellt, wenn diese auf einem Verschulden des Verantwortlichen beruhen. Ferner haftet der Auftragsverarbeiter für Verstöße der von ihm eingesetzten Subunternehmer. Die Klausel verpflichtet den Verantwortlichen außerdem, den Auftragsverarbeiter auf erstes Anfordern von Geldbußen freizustellen, die dem Anteil des Verantwortlichen am Verstoß entsprechen.</p> </div> </div> <div class="toggle"> <h4 class="toggle-header"><strong>Schlussbestimmungen:</strong></h4> <div class="toggle-content"> <p>Dieser Abschnitt enthält einige allgemeine Bestimmungen wie Formerfordernisse, anwendbares Recht, Gerichtsstand im Falle von Streitigkeiten und eine Salvatorische Klausel.</p> </div> </div>

2| Templates

Die Templates müssen auf Deinen individuellen Fall angepasst werden. Unsere Experten helfen Dir hierbei. Anpassungen durch Dich oder Dritte sind nicht Teil unseres Einflussbereiches oder Services.

Steuerberater

No items found.

Notare

No items found.